1 puan yazan GN⁺ 2025-05-04 | 1 yorum | WhatsApp'ta paylaş
  • AB’nin sınır ötesi veri aktarımı kuralları platform işletme riski olarak yeniden öne çıkarken, İrlanda Data Protection Commission 4 yıllık soruşturmanın ardından TikTok’a 530 milyon euro (yaklaşık 600 milyon dolar) ceza verdi
  • Tartışmanın odağında, Çin’deki çalışanların uzaktan eriştiği Avrupalı kullanıcıların kişisel verileri için TikTok’un AB ile özünde eşdeğer korumanın sağlandığını doğrulayıp, güvence altına alıp, kanıtlayıp kanıtlayamadığı yer alıyor
  • O dönemdeki gizlilik politikası, verilerin hangi üçüncü ülkelere aktarıldığını yeterince bildirmiyordu ve Çin merkezli personelin uzaktan erişimini de açık biçimde açıklamıyordu
  • TikTok karara katılmıyor ve itiraz etmeyi planlıyor; şirket, sorun edilen dönemin Mayıs 2023’e kadarki belirli bir zaman aralığı olduğunu ve sonrasında Project Clover ile Avrupa veri merkezleri ve bağımsız denetim mekanizmasını devreye aldığını savunuyor
  • GDPR, Avrupalı kullanıcı verilerinin AB dışına aktarılmasına izin veriyor ancak eşdeğer bir koruma düzeyi gerektiriyor; bazı verilerin Çin’deki sunucularda saklandığının sonradan bildirilmesi ek düzenleyici adımlara yol açabilir

530 milyon euro ceza ve 6 aylık düzeltme emri

  • İrlanda Data Protection Commission, TikTok’un Çin’e veri aktarımının AB gizlilik kurallarını ihlal ettiğini belirterek 530 milyon euro, yaklaşık 600 milyon dolar ceza verdi
  • Bu karar, Eylül 2021’de başlayan 4 yıllık soruşturmanın sonucu ve TikTok’a 6 ay içinde kurallara uyum sağlama emri de verildi
  • Düzenleyici kurum, Çin’e veri aktarımının Avrupalı kullanıcıları gözetim riskine maruz bıraktığı sonucuna vardı
  • TikTok’un Avrupa merkezinin Dublin’de bulunması nedeniyle, İrlanda denetim kurumu AB içindeki 27 ülkede TikTok için başlıca veri koruma düzenleyicisi rolünü üstleniyor

Çin’de uzaktan erişim ve AB düzeyinde koruma tartışması

  • Deputy Commissioner Graham Doyle, TikTok’un Çin’deki çalışanların uzaktan eriştiği Avrupalı kullanıcıların kişisel verileri için AB ile özünde eşdeğer koruma düzeyini doğrulayıp, güvence altına alıp, kanıtlayamadığını düşünüyor
  • Soruşturmada, Çin’in terörle mücadele, casuslukla mücadele, siber güvenlik ve ulusal istihbarat yasaları nedeniyle Çin makamlarının Avrupalı kullanıcıların kişisel verilerine erişebilme ihtimali temel tartışma konusu oldu
  • İrlanda denetim kurumu, söz konusu Çin yasalarının AB standartlarından maddi olarak farklı olduğuna hükmetti

Gizlilik politikasındaki şeffaflık sorunu

  • TikTok, kullanıcılarına kişisel verilerin nereye gönderildiğini yeterince bildirmemesi nedeniyle de yaptırıma uğradı
  • Soruşturma sırasındaki TikTok gizlilik politikası, kullanıcı verilerinin aktarıldığı üçüncü ülkeleri belirtmiyor, bunlar arasında Çin’i de ismen anmıyordu
  • Politika daha sonra güncellendi ancak o dönemde Singapore ve United States’te saklanan kişisel verilerin Çin merkezli personel tarafından uzaktan erişimle işlendiği de açıklanmıyordu

TikTok’un itiraz planı ve Project Clover

  • TikTok bu karara katılmıyor ve itiraz etmeyi planlıyor
  • Şirket, kararın Mayıs 2023’te sona eren belirli bir döneme odaklandığını ve sonrasında veri yerelleştirme projesi Project Clover’ı yürüttüğünü savunuyor
  • Project Clover, Avrupa’da 3 veri merkezi kurma planını içeriyor
  • TikTok Avrupa kamu politikası ve hükümet ilişkileri başkanı Christine Grahn, Project Clover’ın sektördeki en sıkı veri koruma uygulamalarından bazılarını içerdiğini ve Avrupa siber güvenlik şirketi NCC Group tarafından bağımsız denetim sağlandığını söyledi
  • Grahn, TikTok’un Çin makamlarından Avrupalı kullanıcı verilerine ilişkin hiçbir talep almadığını ve Avrupalı kullanıcı verilerini Çin makamlarına hiç vermediğini belirtti

GDPR’nin sınır ötesi aktarım standardı ve TikTok’un itirazı

  • AB gizlilik kuralları olan General Data Protection Regulation kapsamında, Avrupalı kullanıcı verileri AB dışına aktarılabiliyor ancak aynı düzeyde korumayı güvence altına alan önlemler gerekiyor
  • Grahn, İrlanda düzenleyicisinin TikTok’un veri aktarımı için gerekli değerlendirmeleri yapmadığı yönündeki kararına sert biçimde karşı çıktı
  • TikTok, hukuk firmaları ve uzmanlardan danışmanlık aldığını, Avrupa’daki binlerce şirketin kullandığıyla aynı hukuki mekanizmaları kullandığını ve yaklaşımının AB kurallarıyla uyumlu olduğunu savunuyor
  • Grahn, TikTok’un singled out edildiğini söyledi

Çin sunucularında saklama bildirimi ve ek adım incelemesi

  • TikTok, ana şirketi ByteDance’ın Çin merkezli bir şirket olması nedeniyle Avrupa’da kullanıcı kişisel verilerini nasıl işlediğine ilişkin soruşturmalarla karşı karşıya kaldı
  • Batılı yetkililer, Çin’e aktarılan kullanıcı verileri nedeniyle TikTok’un güvenlik riski oluşturduğuna dair kaygılarını uzun süredir dile getiriyor
  • İrlanda denetim kurumu 2023’te de ayrı bir çocuk gizliliği soruşturmasında TikTok’a yüz milyonlarca euro ceza vermişti
  • Bu soruşturma sırasında TikTok, Avrupalı kullanıcı verilerini Çin’deki sunucularda saklamadığını söylemişti; ancak ancak Nisan ayında, Şubat’ta fark edilen bir durum üzerine bazı verilerin gerçekten Çin’deki sunucularda saklandığını düzenleyici kuruma bildirdi
  • Graham Doyle, son gelişmeleri son derece ciddi gördüklerini ve ek düzenleyici önlemlerin gerekip gerekmediğini değerlendirdiklerini söyledi

1 yorum

 
GN⁺ 2025-05-04
Hacker News yorumları
  • “Devasa” deniyor ama hangi ölçüte göre?
    Artık şirketlere cirolarının makul bir oranı kadar para cezası kesilmesine alışmamızın zamanı geldi.
    TikTok’un yalnızca geçen yılki küresel cirosunun bile 20-26 milyar dolar olduğu tahmin ediliyor https://www.nytimes.com/2025/01/17/technology/tiktok-ban-byt...

    • Bir cezanın şirketin davranışını değiştirecek kadar can yakması için küresel cironun bir kısmı olması gerekmez; yasa dışı faaliyetten elde edilen kazançtan yeterince büyük olması gerekir.
      İlgili makaleye göre TikTok 20 milyar doların 10 milyarını yalnızca ABD’de kazandı; dolayısıyla Avrupa cirosunun üst sınırı 10 milyar dolar.
      Brezilya ve Endonezya gibi büyük pazarlar hesaba katılmadan yapılan bir hesap bu, yani gerçek Avrupa cirosu muhtemelen çok daha düşük.
      530 milyon avro yaklaşık 600 milyon dolar ediyor; bu da ilgili 2024 cirosunun en az %6’sı ve gerçekte çok daha yüksek olabilir.
      Bunun hileli davranıştan elde edilen kazancı dengeleyecek kadar büyük olup olmadığını bilmiyorum ama kesinlikle hafif bir ceza değil.
    • Diğer cezalarla karşılaştırmak yeterli olabilir.
      Tutar bazında bakınca tekil olay cezaları arasında tüm zamanların ilk 20’si civarında görünüyor; yalnızca Avrupa gizlilik cezalarına bakıldığında ise ilk 3’te.
      Bu tür tutarlara alışmamız sınıflandırmayı değiştirmez.
      Bu rakamlar daha yaygın hale gelse bile hâlâ çok büyük meblağlar; üstelik aslında yaygınlaşmaması gereken meblağlar.
    • Küçük bir itiraz: Bunu ciro değil, net kârın bir kısmı olarak görmek gerekir.
      Cironun büyük bölümü maliyetlere gider; bu yüzden cironun makul bir oranı üzerinden ceza keserseniz şirketi düpedüz iflasa sürükleyebilirsiniz.
      Amaç davranışı değiştirmekse istenen sonuç bu değildir.
      Küresel ciro 20 milyar dolar ve kârlılık oranı %20 varsayılırsa net kâr 4 milyar dolar olur; bu ceza da küresel net kârın %15’i demektir.
      Çok büyük bir ceza.
      Ayrıca bu tür düzenlemeler muğlak ve yoruma açık; şirketler ve avukatlar içtenlikle uyum sağladıklarına inansa bile bir hâkim farklı karar verebilir.
      Tek tek ülkeler küresel ciroyu temel alarak ceza keserse aynı eylem için cezaların çakışması riski de var; bu da sonunda davranış değişikliğine değil şirket iflasına gidebilir.
    • Tutarın küçük olmasından daha kötü olan şey geçen süre.
      İddiaları olduğu gibi kabul edersek Çin, 4 yıl boyunca AB vatandaşlarının önemli bir kısmını izledi ve 6 ay daha bunu sürdürebilecek.
      Ondan sonra da gerçekten durması pek olası değil; sonuçta mağdur başına birkaç dolar düzeyinde bir cezayla bitecek.
      ABD de daha hızlı hareket etmiyor, diğer çoğu ülke ise hiç hareket etmiyor.
      Sonuç olarak potansiyel bir hasım ülke, araya komik videolar ve sinir bozucu müzikler koyduğu sürece devasa bir gözetim operasyonunu uzun süre büyük bir bedel ödemeden yürütebiliyor.
    • Ceza yerine hükümetin ilgili şirketten hisse alması gerektiği yönünde bir fikir vardı.
      Bu, mevcut sahiplerin payını seyrelterek kötü davranışı cezalandırma yöntemi.
      Hükümet ortak sahip olunca içeriye girmiş olur; bilgi talepleri ve görünürlük çok daha artar.
      Kötü davranış sürerse zamanla hükümet kontrolü ele geçirir.
      Tesla gibi hisse fiyatı çok yüksek ama kârı düşük şirketlerde kâr oranına dayalı cezalar pek anlamlı olmayabilir.
      Ancak hisse yoluyla hükümet kontrolü, hem şirketin hem de hissedarların dikkatini hızla çeker.
  • HN gönderi başlığındaki Є euro işareti değil.
    Euro işareti ’dur.

    • Başlık değişince işaret eklendi ama artık başlığı düzenleyemiyorum.
      Umarım Dang düzeltir.
    • Bugün öğrendim: Є, U+0404 Cyrillic Capital Letter Ukrainian Ie imiş.
      https://codepoints.net/U+0404
    • Ayrıca € işareti, $ gibi başa gelen bir önek değil; tutardan sonra gelen bir sonektir.
  • Bu başlıkta çok fazla hayal kırıklığı ve sinizm var, ama bunu büyüten birkaç yanlış anlama var gibi.
    Öncelikle İrlanda AB’nin bir parçası ve GDPR’nin tek durak noktası sisteminde, AB merkezinin bulunduğu ülke AB genelindeki uygulamaya öncülük eder.
    Birçok büyük teknoloji şirketinin AB merkezi İrlanda’da olduğu için, İrlanda düzenleyicisi GDPR kapsamında para cezası kestiğinde fiilen tüm AB adına uygulama yapmış olur.
    GDPR cezaları çok büyük olabilir ve küresel ciro oranı ya da yüksek sabit tutardan hangisi daha yüksekse ona göre yaptırım uygulanabilir.
    Bu yüzden büyük şirketler de etkisini hisseder.
    Bu cezalar kamuya açık ve şeffaf biçimde duyurulur; dolayısıyla mali darbenin yanında itibar darbesi de oluşur.
    Açıklık, cezanın sessiz bir iş yapma maliyeti değil gerçek bir caydırıcı olması için özellikle amaçlanmıştır.
    Cezanın nereye gittiğini de netleştirmek gerekir.
    Para yalnızca İrlanda’nın cebine girmiyor; pratikte AB bütçesine gidiyor ve İrlanda’nın normalde AB bütçesine ödemesi gereken katkı payından mahsup ediliyor.
    Diğer AB ülkelerindeki insanlar ihlale uğradıysa o ülkeler de cezanın bir kısmını talep edebilir.
    Sonuçta İrlanda’nın tek başına kazanç sağladığı bir yapı değil; şirketler orada yerleşik olduğu için tahsilat noktası orası oluyor.
    İlginç şekilde bazıları cezanın fazla ağır olduğunu, bazılarıysa fazla hafif olduğunu söylüyor.
    Aslında bu tür yaptırımlar şirketin ölçeği ve ihlalin derecesiyle orantılı ama hissedilecek kadar anlamlı olacak şekilde tasarlanıyor; amaç şirketi yok etmek değil, ancak kesinlikle önemsiz bir düzey de değil.

    • Şirketin küresel cirosunun oranı ya da yüksek sabit tutardan hangisi daha yüksekse ölçütü, azami cezayı belirlemek içindir.
      Ardından düzenleyici bu azami tutarın X%’ini fiili ceza olarak uygulayabilir.
      Bu aynı zamanda tek tek AB üyesi ülkelerin iş çekmek için cezaları fazla düşük tutmasını önlemeye yönelik bir mekanizmadır.
      İrlanda’nın geçmişte vergileri fazla düşük tutması sorununa benzer bir bağlam.
    • İrlanda’nın x kadar daha az katkı payı ödemesi, pratikte x kadar para kazanmasıyla neredeyse aynıdır.
      Diğer AB ülkelerinin talep etmediği kısım sonuçta İrlanda’nın cebine girmiş sayılır.
    • Ceza akışının ayrıntılarına dair dayanak belge olsa gerçekten faydalı olurdu.
      GDPR konusu her açıldığında burada onlarca yorum geliyor ve tartışma hep bu nokta etrafında tekrarlanıyor.
  • Hukuk içinde hareket ediyor olabilirler, ancak bence daha büyük tehdit verinin dışarı çıkması değil, uygulamanın algoritmasına etkinin içeri girmesi ve bunun sonucunda kullanıcıların etkilenmesi.

  • @dang başlığa şu simgeyi ekleyebilir misin?

    • Şu Є çıkarılmalı
  • İki şeyi merak ediyorum
    Birincisi, bu tür para cezaları gerçekten tahsil ediliyor mu, yoksa süresiz temyiz süreçlerine mi dönüşüyor
    İkincisi, ceza parası nereye gidiyor
    TikTok’un Ireland’da ceza aldığı bir yapıysa, para cezası Ireland hükümetine gidiyormuş gibi geliyor; bu da tuhaf
    Ceza EU genelindeki bağlam üzerinden hesaplanırken geliri yalnızca Ireland alıyorsa, yapı bozuk demektir

    • Birleşik Krallık’ta cezayı kesen düzenleyici kurum, bazı maliyet geri kazanım kalemleri hariç neredeyse tamamını Konsolide Fon’a yatırır
      Yani vergilerle aynı büyük havuza girer
      EU doğrudan hukuki yaptırımı çok az uygular, çoğunu ulusal düzenleyici kurumlar yürüttüğü için genel olarak beklenebilir bir yöntem
      Apple vakasının tersiydi; o zaman EU, Apple’dan yeterince vergi tahsil etmediği gerekçesiyle Ireland hükümetine ceza kesmişti
    • Yanılıyorsam düzeltilmesi gerekir ama o para sonunda genel EU bütçesine akar ve EU sakinlerinin vergilerinden çok küçük bir iade almasına benzer
      Ancak ülkeden ülkeye fark var gibi görünüyor; Spain’de kişisel veri denetim kurumunun parayı doğrudan elinde tuttuğu biraz sıra dışı bir yapı var gibi
    • Gerçekten yalnızca Ireland’a ait bir cezaysa, TikTok o ülkeden çekilip cezayı ödemeyebilir
      Belki Ireland’ın istediği de bu olabilir
      Ireland küçük bir pazar olduğu için TikTok’un Ireland’da 530 milyon euro kâr etmesi çok uzun zaman alacaktır
    • https://www.enforcementtracker.com/
  • Bu tür cezalarla geri alınan paranın %100’ü ilgili şirketlerin kişisel veri ihlallerini araştırmaya ve kamuya açıklamaya harcanmalı
    Fiilen kendi denetim maliyetlerini kendilerine ödetmek gerekir
    Büyük ölçekte topladıkları verilerin ileride yapay zeka tarafından nasıl kötüye kullanılacağını bilemeyiz ve bu oldukça korkutucu

  • Umarım o para yerel insanlar için durumu iyileştirmek üzere kullanılır

  • Konudan biraz sapıyor ama cezayı kesen hükümetin bu parayı nasıl kullandığını merak ediyorum
    Örneğin veri gizliliği ile ilgili faaliyetlere veya işlere finansman olarak mı gidiyor?

    • Vergiler çok nadiren belirli bir amaca bağlanır
      Çoğu ülkede “ayı vergisi” ödüyorsunuz diye o para ayıları yok etmeye ayrılmış büyük bir kavanoza gitmez
      Bu yüzden bu tür cezalar genellikle kamu harcamalarının genel kaynağına girer
      Birleşik Krallık’ta veri ihlali cezaları uygulayıcı kurumun işletme giderleri için kullanılır, kalan tutar devlete döner https://ico.org.uk/about-the-ico/who-we-are/how-we-are-funde...
    • EU’da bu, üye devletlerin ertesi yıl bütçeye biraz daha az ödeme yapması anlamına gelir
      EU bütçesinin kendisi fiilen değişmediği için pratikte “daha fazla para oluşması” gibi bir yapı değildir
      Sanki bir adım atlanmış gibi ama bu ceza Ireland’a özgü değil, EU genelinde bir ceza ve hatırladığım kadarıyla EU’ya ödeniyor
  • Sorumlu kişilere bireysel olarak ceza kesilmediği sürece bu tür cezalar işe yaramaz ve etkisi yoktur

    • Ayrıca ceza kazanılan paradan azsa, bu ceza değil iş yapma maliyetidir